運用中のMovable Typeのサイトに対してやれる、
セキュリティ対策を集めてみました。
Movable Typeを安全に使うには、何より「最新版を使う」ということが一番大切です。
でも既に運用稼働中の案件では、プラグインの対応状況やサーバのスペック、またアップデートにかかる
コストなどの問題で、そうそう簡単には最新バージョンに切り替えられないことが多いです。
そんなときに、「とりあえず」「比較的簡単に」できる対処方法を集めてみました。
■管理画面にアクセス制限をかける
ベーシック認証やIP制限をかけます。最も簡単で、すぐできる方法です。
合わせて管理画面をSSLにするとなおよいのですが、SSLが無理な場合は、
定期的にベーシック認証やMTサインインのIDPWを変えるなどの
運用ルールを作ると良いと思います。
※検索機能や動的パブリッシングを利用している場合は
mt.cgiファイルのみにベーシック認証をかけるようにします。
MTファイルのディレクトリ全体にアクセス制限をかけてしまうと、
動的な各機能が使えなくなってしまうため、注意が必要です。
■管理画面のURLを変える
いつもの管理画面URL、「xxx/xxxx/mt.cgi」の
「mt.cgi」の部分を変更します。
「mt.cgi」はMTユーザーなら誰でも知っているファイル名なので、
これを他人が予測しにくいものに変えてしまいます。
ファイル名の変更は、mt-config.cgi 上で
環境変数「AdminScript」を設定して行います。以下のように記述します。
AdminScript hogehoge.cgi
上記「hogehoge」の部分に変更後のmt.cgiファイルの名前を書き、
実際のファイル名も変更します。
⇒「AdminScript」参考
http://www.movabletype.jp/documentation/appendices/config-directives/adminscript.html■使わないcgiファイルの実行権限を外す
インストール後は使われないcgiファイル、またブログの機能として使っていないcgiファイルは
削除、もしくは実行権限を外してしまいます。
例えばインストール完了後は、以下のcgiファイルは使われません。
mt-check.cgi、mt-wizard.cgi、mt-testbg.cgi、mt-upgrade.cgi
比較的新しいMTではインストール後自動的に無効化されるものもありますが、
古いバージョンだとそのまま残ってしまっているので、手動で権限を変更します。
また、コメント機能を使っていなければ、mt-comments.cgi は必要ありませんし、
検索機能を使っていなければ、mt-search.cgi も要りません。
これらも全て、実行権限を外してしまいましょう。
もうひとつ、こんな対策もありました。
■アップロードアイテムを制限 サーバ上におかしなファイルを設置されないよう、MTからアップロードできるアイテムを限定します。 環境変数「AssetFileExtensions」を使います。 例えばjpeg、gif、pngの画像ファイルだけしか記事で使用しないブログであれば、 mt-config.cgi に以下のように記述します。
■アップロードアイテムを制限 サーバ上におかしなファイルを設置されないよう、MTからアップロードできるアイテムを限定します。 環境変数「AssetFileExtensions」を使います。 例えばjpeg、gif、pngの画像ファイルだけしか記事で使用しないブログであれば、 mt-config.cgi に以下のように記述します。
AssetFileExtensions jpe?g, gif, png
拡張子は正規表現で記述可能です。
⇒「AssetFileExtensions」参考
http://www.movabletype.jp/documentation/appendices/config-directives/assetfileextensions.html
以上です。
基本的なことばかりですね。
簡単にできるのですぐやりましょう!